[아이티데일리] 날이 갈수록 지능적이고 위협적으로 변해가는 보안 위협에 대응하기 위해, 많은 전문가들은 “기존과는 다른 ‘혁신’이 필요하다”고 지적하고 있다. 보안에 대한 기본 ‘개념’부터 위협을 다루는 ‘방식’, 예방을 위한 갖가지 ‘기술’ 등 다양한 측면에서 새로운 시도가 이뤄지고 있지만 보안의 기본은 역시 사용자의 단말, 엔드포인트(Endpoint)에서부터 안심할 수 있는 환경을 만드는 것부터 시작한다.

단순히 알려진 공격을 차단하는 것을 넘어, 모든 행위와 이벤트를 기록하고 분석해 침입으로 이어질 수 있는 의심스러운 시도들을 탐지, 대응까지 할 수 있는 ‘엔드포인트 탐지 및 대응(Endpoint Detection & Response, 이하 EDR)’ 솔루션이 이미 몇 년 전 등장해 주목받기 시작했다. 국내에서도 올해 본격적으로 시장이 확대될 것으로 기대되는 가운데, 적극적으로 국내 비즈니스를 준비하는 기업들로부터 EDR이 무엇인지, 왜 중요한지를 들어본다.

단순 차단 넘어 감지·대응까지

오늘날 보안 위협은 매 순간 고도화되고 있다. 매일같이 신·변종 악성코드가 등장하고, 지능형 지속 위협(APT)과 랜섬웨어 공격 등 기업과 기관의 정보 자산을 노리는 악의적인 시도들이 계속해서 이어진다. 기업과 기관의 보안 담당자들은 기존에 구축해놓은 솔루션만으로는 이러한 공격에 충분히 대응하기가 어렵다고 말한다. 이에 이미 알려진 공격을 단순히 차단하는 것을 넘어, 알려지지 않은 위협까지 감지하고 대응하기 위한 솔루션으로 EDR이 주목받게 됐다.

글로벌 시장 조사 기관 가트너는 EDR을 ‘엔드포인트에서 발생하는 행위와 이벤트들을 기록하고, 다양한 분석 기술을 통해 의심스러운 동작 및 공격을 탐지/대응하는 솔루션’으로 정의하고 있다. 또한 EDR이 △보안 침해 탐지 △엔드포인트에서의 보안 침해 억제 △보안 침해 조사 △감염 이전 상태로의 회복을 위한 치료 등 4가지 기능을 갖춰야 한다고 명시하고 있다.

이스트시큐리티 관계자는 “공항에서의 보안 환경과 빗대 설명하자면, 공항에서는 출입국 심사 과정에서 출입국 금지 대상 목록을 관리하면서 출입국 심사 과정에서 허용/불가 여부를 확인한다. 이는 안티 바이러스 제품들이 이미 알려진 악성코드에 대해 탐지/치료하는 과정과 유사하다. 하지만 이 경우 금지 대상에 있는 인물(위협)은 신속·정확하게 차단할 수 있지만 목록에 없는 인물(위협)에 대해서는 대응하지 못한다”면서, “이를 보완하기 위해 공항에는 보안 강화와 선제 대응을 위해 CCTV를 설치하고 보안 요원을 배치, 공항 내 모든 행위들을 모니터링하고 수집한다. 이처럼 위협이 되는 수상한 행위를 포착해 대응 방법을 제시하는 과정이 엔드포인트 보안에서 EDR의 역할이라고 할 수 있다”고 설명했다.

즉 EDR은 사용자의 PC에서 발생하는 모든 실행 파일과 행위를 실시간으로 수집해 다양한 방법으로 위협을 탐지하며, 탐지한 위협에 대해 추가적인 분석과 대응까지 하는 솔루션이라고 할 수 있다. CCTV처럼 PC 내의 거의 모든 정보를 수집하면서 실시간으로 알려진 것은 물론 알려지지 않은 위협까지 탐지해, 전통적인 백신 솔루션을 보완하고 대체하는 차세대 정보보안 솔루션이 EDR이다.

안랩 관계자는 “EDR은 엔드포인트 위협에 대해 적절한 가시성을 제공함으로써 지능형 위협을 발견하고 조사 및 대응할 수 있는 엔드포인트 보안의 ‘보완 도구’로, 안티 바이러스 등 기존 보안 제품과 연계해 사용할 때 효과적인 대응이 가능하다”면서 “안티 바이러스는 엔드포인트 상에서 악성코드를 사전에 탐지해 차단 또는 격리하는 반면, EDR은 엔드포인트 상에서 발생하는 ‘행위 정보’를 수집해 분석한다. 즉 EDR은 지속적으로 수집한 행위 정보를 바탕으로, 고도화된 공격 기법, 우회·변종 위협 등 안티 바이러스가 탐지·대응하지 못하는 위협이 발생했을 경우 위협에 대한 가시성을 제공하고 대응할 수 있도록 지원하는 솔루션으로 이해할 수 있다”고 설명했다.

지니언스 관계자도 “랜섬웨어로 대표되는 신·변종 악성코드는 전통적인 백신 솔루션으로 대응이 불가능하다. 백신으로 탐지를 했어도 해당 파일이 언제부터 있었는지, 다른 PC에도 해당 파일이 있는지, 어떤 정보가 유출됐는지, 어떤 파일을 생성했는지 알 수 없다”면서 “반면 EDR은 코로나 역학조사관이 이동 경로를 파악하고 밀접 접촉자를 격리시키는 것처럼, PC의 모든 행위를 모니터링하고 이상 행위와 위협에 사전 대응한다. 사고 발생 시 원인 추적 및 분석이 가능하며 비정상, 이상행위 탐지를 통한 신종 공격의 대응이 가능하다”고 말했다.

성장세 속 국내도 관심 고조

2017년 가트너는 글로벌 EDR 시장이 2015년부터 2020년까지 연평균복합성장률(CAGR) 45.27%에 달하는 성장을 구가할 것이며, 2021년에는 약 15억 달러 규모의 시장으로 성장할 것으로 내다본 바 있다. 또 다른 시장조사기관인 디 인사이트 파트너스(The Insight Partners)는 2021년 글로벌 EDR 시장이 2020년 대비 22% 성장한 21억 6,100만 달러 규모에 달할 것으로 예상했다. 최근에는 2023년까지 EDR 시장이 약 34억 1천만 달러 규모에 이를 것이라는 글로벌 시장조사기관 MRFR(Market Research Future®)의 조사도 있었다.

대표적인 글로벌 EDR 솔루션 벤더로는 크라우드스트라이크(CrowdStrike), 카본블랙(Carbon Black)을 인수한 VM웨어(VMware), 센티넬원(SentinelOne), 사이버리즌(Cybereason), 시스코(Cisco), 트렌드마이크로(Trend Micro) 등이 꼽힌다.

국내의 경우 아직 초기 시장으로 정확하게 EDR 시장의 규모가 집계되고 있지는 않다. 하지만 글로벌 시장조사 기관의 예측과 자체 집계 등을 바탕으로, 국내 업계는 2021년에 약 200억 원의 시장을 형성한 것으로 집계했다. 또한 올해인 2022년에는 100% 성장한 약 400억 원 규모로 시장이 커질 것으로 내다보고 있다.

지니언스 관계자는 “국내 EDR 시장은 지난 2019년 NH농협은행, 국세청, 신한금융지주 등이 EDR을 도입하면서 시장이 개화됐으며, 금융과 공공뿐만 아니라 일반 제조 및 유통까지 산업별 대표기관의 관심이 고조됐다. 코로나 이후 시장 성장이 잠시 주춤했지만 전 산업에 걸친 디지털 트랜스포메이션은 원격/재택근무를 촉발시켰고, 언택트 환경 보안 강화의 대안으로도 EDR이 각광을 받았다”고 설명하면서 “올해는 코로나, 마이데이터, 망분리 등의 이슈로 EDR 사업을 연기했던 제1금융권을 필두로 지방자치단체까지 수요가 확장될 전망이다. 특히, 국내 대형 은행이 EDR 도입을 추진함으로써 경쟁사나 제2금융권까지 관심이 고조될 것으로 전망한다”고 밝혔다.

이스트시큐리티 관계자 역시 “지난 2017년 국내 시장에 EDR 솔루션이 등장한 후, 일부 대형 기관과 금융권에 한정해 EDR이 도입됐다. 하지만 코로나19 팬데믹 사태가 터지면서 언제 어디서나 일할 수 있는 디지털 워크플레이스로의 전환이 빠르게 진행됐고, 다양해진 디바이스 및 원격근무 환경의 보안을 강화하기 위해 EDR이 더욱 주목받기 시작했다. 보안 담당자들은 취약한 보안 환경에 노출된 수많은 엔드포인트의 위협을 관리해야 하므로, 공격의 실시간 탐지 및 분석을 위한 가시성 확보와 신속한 대응이 그 어느 때보다 중요한 상황이다”라고 강조했다.